周四， *** 安全公司Check Point Research发布了一份报告，详细介绍了23个Android系统的不良云配置和实施，可能使数百万用户的数据面临风险。可能泄露的信息包括电子邮件记录、聊天信息、位置信息、图像、用户ID和密码。

一半以上的应用程序的下载量都超过1000万，因此受影响的用户范围很大，Check Point估计，这些应用程序可能已经暴露了超过1亿用户的数据。

大多数应用程序都有实时数据库，开发人员对公众敞开了大门，这个问题非常常见且分布广泛，它的研究人员发现，在他们调查的一半以上的应用程序的数据库中，他们可以自由访问信息。

技术人员还发现，将近一半的应用程序将其云存储密钥嵌入其应用程序的代码中。例如，CPR从一个名为 “iFax”的传真应用程序中获取了密钥，这将使他们能够访问该应用程序的50多万用户发送的每一份传真。出于道德原因，研究人员没有访问这些记录，但通过代码分析验证了他们可以这样做。

他们发现的一个不太常见的问题仍然值得注意，那就是硬编码的推送通知键。嵌入的通知密钥并不像将云存储密钥编码到程序中那么严重，但CPR解释说，这也是同样糟糕的一种做法。

“虽然推送通知服务的数据并不总是敏感的，但代表开发者发送通知的能力足以引诱恶意的行为者。想象一下，如果一个新闻输出应用程序向其用户推送一个假的新闻条目通知，将他们引向一个钓鱼网页，要求他们更新订阅。由于该通知源自官方应用程序，用户不会怀疑任何事情，因为他们确信这个通知是由开发人员发送的”。

Check Point表示，在披露这些漏洞之前，它已经通知了应用程序制造商，而且有几个制造商跟进了更新，以修复这些问题。然而，被调查的23个应用只是Google Play上287万个应用中的一个微不足道的样本，可能有更多的人在使用这些同样糟糕的做法。